Compania rămâne liniștită de când a negat atacul, chiar și după ce cercetătorii au concluzionat că încălcarea este reală
În context: Oricât de bolnav este să recunoaștem, încălcările datelor au devenit un fapt al vieții. Nu putem merge mai mult de o lună fără o companie sau o alta anunțând că un hacker sau o igienă slabă de securitate și -a lăsat clienții expuși. Oricât de enervant este, este și mai iritant atunci când compania încearcă să ascundă intruziunea.
La începutul acestei luni, un actor de amenințare care trece cu Rose87168 a susținut că a încălcat serverele SSO federate ale Oracle Cloud și a exfiltrat în jur de 6 milioane de înregistrări, afectând peste 144.000 de clienți Oracle. Hackerul a furnizat o listă internă de clienți și a amenințat să vândă datele, cu excepția cazului în care clienții au plătit pentru a-și elimina datele din trove, care au inclus acreditări unice de conectare, parole de protocol de acces ușor de acces, taste OAuth2, date de chiriași și multe altele. Rose87168 a solicitat, de asemenea, ajutor din partea comunității de hacking pentru a sparge parola de hașă în comerț pentru unele dintre date.
La o zi după ce actorul de amenințare a postat un mic eșantion de date, Oracle a declarat pentru Bleeping Computer că nu a existat nicio încălcare a serviciului său cloud. După refuzul Oracle, Rose87168 a început să scurgă „dovada” către cercetătorii mass -media și securitate. Grupul de securitate Hudson Rock și experții de la Cloudsek au concluzionat că datele și acreditările sunt legitime.
Cloudsek a spus că hackerul pare să fi folosit o vulnerabilitate de zi zero (CVE-2021-35587) într-un software Access Manager legat de Oracle Fusion Middleware pentru a încălca sistemele Oracle Cloud fără autentificare.
„Destul de nebun Oracle a negat această scurgere, care a fost verificată independent de multe firme de securitate cibernetică”, a postat luni Hudson Rock CTO Alon Gal pe LinkedIn.
De asemenea, Trustwave SpiderLabs a analizat probele și a ajuns la concluzia că datele au fost cu siguranță de la Oracle Cloud Servere.
„Setul de date descris de anteturile furnizate reprezintă un director de utilizator extrem de detaliat și sensibil, probabil extras dintr-un sistem de gestionare a identității și accesului corporativ sau dintr-un director integrat de HR, cum ar fi Microsoft Active Directory, Oracle Identity Manager sau o platformă similară”, a citit Advisory Security Advisory.
De asemenea, firma de securitate a confirmat că cache -ul a inclus informații de identificare personală, cum ar fi prenumele și prenumele, numele de afișare completă, adresele de e -mail, titlurile de locuri de muncă, numerele de departament, numerele de telefon, numerele de telefon mobil și chiar datele de contact la domiciliu. De asemenea, hackerul a încărcat o înregistrare a unei întâlniri interne Oracle.
„Astfel de date într -un format scurs prezintă cibersecuritate severă și riscuri operaționale pentru organizația afectată”, a adăugat Trustwave.
Mai mult, specialistul în domeniul cibersecurității, Kevin Beaumont, a menționat că Oracle „Rebadged” Legacy Oracle Cloud Services ca „Oracle Classic”. El susține că formularea atentă a companiei în răspunsul său este o negare de fapt tehnic, dar neplăcută. Compania pare să încerce să situeze incidentul ca nesemnificativ sau că nu a scurs înregistrările Oracle Cloud actuale. Pentru referință, aici este declarația Oracle pentru a sângera computerul:
„Nu a existat nicio încălcare a Oracle Cloud. Acreditările publicate nu sunt destinate Oracle Cloud. Niciun clienți Oracle Cloud nu a experimentat o încălcare sau nu au pierdut date.”
Beaumont a găsit utilizarea repetitivă a „Oracle Cloud” suspectă, ca și cum ar putea fi configurat Oracle Classic pentru a lua toamna. Cu toate acestea, indiferent de vârsta serverelor încălcate, Cloudsek a confirmat prin unii dintre clienții săi că datele sunt corecte și actuale. Această concluzie elimină orice idee că încălcarea era nesemnificativă sau conținea informații învechite.
În ciuda mai multor cercetători care au raportat că încălcarea datelor se referă serios, Oracle a rămas tăcută de când a negat atacul. Beaumont spune că tăcerea companiei este iresponsabilă. La fel, Gal a numit Oracle de transparență și îndrumare „nebună”. Lipsind orice sfat din partea companiei, GAL a îndrumat clienții afectați către recomandările de atenuare ale Cloudsek pentru a minimiza eventualele daune potențiale cauzate de scurgere.
